Zo nu en dan kom je een oplossing tegen voor een probleem waarvan je het bestaan misschien niet eens vermoedde. Verifiable credentials (“verifieerbare attesteringen”) zijn een duidelijk voorbeeld, en het ziet ernaar uit dat die de komende jaren nog veel aan populariteit zullen winnen. Dat is niet in het minst te danken aan recente Europese initiatieven.
In de fysieke wereld vertrouwt u vaak op papieren documenten om belangrijke dingen te bewijzen. Diploma's, geboorteakten en rijbewijzen zijn duidelijke voorbeelden: ze zijn allemaal op de een of andere manier aan u verbonden, en zeggen iets over wie en wat u bent.
Een elektronische tegenhanger daarvan bouwen is eenvoudig, althans in principe. Een bevoegde organisatie maakt een elektronische versie (een PDF, een XML-document, of iets gelijkaardigs), en ondertekent die. Zowel de technologie als het rechtskader bestaan, en kunnen zonder veel problemen worden toegepast.
Toch kan het in de praktijk een stuk moeilijker zijn. Het kan een uitdaging zijn om het document aan een specifieke persoon te linken, aangezien unieke identificatienummers niet altijd beschikbaar zijn, en niet altijd gemakkelijk te verifiëren. Bovendien, hoe bepaal je dat de uitgever die het document heeft ondertekend daartoe ook daadwerkelijk bevoegd is? Iedereen kan een digitale handtekening zetten, dus hoe kan een daarvan afhankelijke partij de wettelijke autoriteit achter een document valideren? Dit zijn de problemen die verifiable credentials kunnen oplossen, met wat verbeterde gegevensbescherming als bonusje.
Verifiable credentials bestaan al enige tijd, en er bestaat zelfs een specifieke aanbeveling van het World Wide Web Consortium (W3C) voor. In wezen zijn verifiable credentials een digitaal equivalent van papieren documenten, die de houder kan meenemen en voorleggen aan derden die zich erop moeten kunnen beroepen. De eerder genoemde voorbeelden - diploma's, certificaten of vergunningen - zouden allemaal als digitale verifiable credentials kunnen worden afgegeven.
Verifiable credentials zijn steeds meer een hot topic, omdat het model aan veel nieuwe gebruikerseisen voldoet. Een papieren attestering bevat vaak veel meer informatie dan strikt noodzakelijk is (zoals uitgebreide identiteitsinformatie over de houder), maar een verifiable credential kan pseudoniem worden gemaakt, bijvoorbeeld door enkel te bevestigen dat een bepaalde persoon bij een transactie volwassen is of een bepaalde kwalificatie bezit, zonder identiteitsinformatie vrij te geven die niet strikt relevant is voor de context. Het ondersteunt dus standaard gegevensbescherming (data protection by default), op een meer flexibele manier dan analoge referenties.
Ten tweede maakt een verifiable credential het mogelijk het document te verifiëren, zoals de naam al aangeeft. “Verifieerbaar" betekent dat het mogelijk is de authenticiteit en integriteit van het document vast te stellen, met inbegrip van wie precies de uitgever ervan is. Dit houdt in dat een credential moet worden ondertekend of verzegeld, en dat een model wordt vastgesteld om de juridische autoriteit van de uitgever te verifiëren.
Ten slotte zijn verifiable credentials bedoeld om de digitale autonomie – tegenwoordig ook wel de “datasoevereiniteit” – te ondersteunen. Hoewel een credential nog steeds door een bevoegde organisatie moet worden afgegeven, is de houder na de afgifte niet langer afhankelijk van de uitgever om deze te gebruiken. Net als bij een papieren legitimatiebewijs kan de houder het aan iedereen overhandigen. Hij kan de credential opslaan in een digitale kluis of persoonlijke identiteitsportefeuille, en zo veilig bewaren als hij wil. Daardoor zijn verifiable credentials ook een hoeksteen van een aantal meer geavanceerde use cases, zoals self-sovereign identities waarmee een persoon kan bewijzen wie hij is zonder een derde partij te betrekken bij elke transactie, en zijn ze zeer geschikt voor integratie in blockchain-gebaseerde digitale identiteitsmodellen die de onveranderlijkheid van de credentials of van elke authenticatiesessie verder versterken. Kortom, verifiable credentials zijn de juiste technologie voor de behoeften van vandaag.
Verifiable credentials vallen tot dusver niet onder specifieke wetgeving. Uiteraard moeten bij gebruik met betrekking tot natuurlijke personen de bepalingen van de Algemene Verordening Gegevensbescherming in acht worden genomen voor de afgifte, de opslag en het gebruik van credentials. Bovendien worden de kernconcepten achter verifiable credentials ruimschoots ondersteund door de Europese eIDAS-verordening, die betrekking heeft op elektronische identificatie en bepaalde vertrouwensdiensten, waaronder elektronische handtekeningen en elektronische zegels. Op basis van die verordening kunnen de betrouwbaarheid en de juridische waarde van de onderliggende identiteitsinformatie worden beoordeeld en kunnen de integriteit en de authenticiteit van de credentials worden vastgesteld.
Toekomstige initiatieven kunnen verdere ondersteuning bieden voor verifiable credentials. De EU experimenteert reeds met infrastructuur en use cases, via de European Blockchain Services Infrastructure (EBSI), waarbij credentials worden gecombineerd met ledgertechnologie. De belangstelling van sommige lidstaten is er ook al, aangezien het gebruik van verifiable credentials ook wordt uitgetest in het kader van de Single Digital Gateway Regulation, een initiatief dat ertoe zou kunnen leiden dat verifiable credentials een bouwsteen worden voor overheidsdocumenten in het algemeen.
En ten slotte is er de verwachte modernisering van de eIDAS-verordening. Volgens het voorstel tot wijziging van de eIDAS-verordening van juni 2021 (soms de eIDAS 2-verordening genoemd) zou een rechtskader worden gecreëerd voor zogenoemde " elektronische attestering van attributen” ", gedefinieerd als een attestering in elektronisch formaat aan de hand waarvan attributen kunnen worden geauthenticeerd. Het concept is niet beperkt tot verifiable credentials, maar omvat deze zeker. Het eIDAS 2-voorstel zou niet alleen het aanmaken en valideren van dergelijke credentials verder ondersteunen, maar zou het ook mogelijk maken deze te integreren in European Digital Identity Wallets.
Op die manier zouden de juridische voorspelbaarheid en de bruikbaarheid van verifiable credentials een officieel fiat van de EU kunnen krijgen. En misschien kunnen we dan, vele jaren later, eindelijk ophouden ons zorgen te maken in welke kartonnen doos we onze oude diploma's hebben gelaten...
Heb je nog vragen en wens je een kennismakingsgesprek? Boek een gratis 15-minuten call met Hans op hans.lawyer.brussels (voorbehouden voor organisaties).